1、简介 ASP.NET 是建立微软.Net平台上的WEB编程框架,可用于在服务器上生成功能强大、结构清晰的 Web 应用程序。有必要指出的是,由于 ASP.NET 基于.Net公共语言运行库,因此在ASP.NET中可以利用整个.Net平台的全部功能。 本文通过对ASP.NET开发中的页面访问控制问题的描述,涉及到了Request、Response、Session、Cookie这几个对象,并对ASP.NET的工作方式、Session安全性、ASP页面的生命周期做了较为详细的分析,以期提供一个ASP.NET开发快速入门的参考。 2、环境介绍及预备知识: (1)、Windows XP Professional(Windows 2000、Windows 2003)+IIS (2)、.Net Framework SDK 1.1(VS.Net 2003中自带) (3)、Visual Studio.Net 2003 请根据指南正确对IIS、VS.Net2003的加以安装。使用Windows2003的用户:在VS.Net 2003安装好以后,请确认IIS 中的ASP.NET Web服务扩展是允许的,否则,您将无法使用ASP.NET。 本文假设您能使用C#在.Net平台上做简单的WinForm开发,并了解一定的HTML知识。 3、正文: (1)、创建项目 启动VS.NET 2003,选择菜单命令新建->项目,弹出新建项目对话框,新建一个ASP.NET项目,本文里使用的项目位置为http://localhost/WebApplication1。 单击确认,IDE将创建项目。在解决方案管理器中,我们可以发现IDE自动为我们添加了一个名位WebForm1.aspx的页面,请删掉它,然后为我们的项目添加两个ASP.NET页面,名称分别为SignIn.aspx、Protected.aspx。 查看SignIn.aspx的HTML代码,在第一行你可以发现: <%@ Page language="c#" Codebehind="SignIn.aspx.cs" AutoEventWireup="false" Inherits="WebApplication1.SignIn" %> 很有必要介绍一下Codebehind属性和Inherits属性。ASP.NET较之ASP一个最大的进步,就是实现了Web开发中HTML 代码(负责呈现用户界面)和程序代码(负责实现业务逻辑)的分离。 ASP.NET页面在运行时,首先时被解释加以编译成为一个类,这个类继承了Inherits属性指定的预先编译在程序集中的类,然后ASP.NET页面编译后生成的类被启动来处理请求(注意:继承的方式在ASP.NET2.0中已被取消,在2.0版本中,页面连同程序代码编译成同一类)。 有了上面的叙述,我们可以知道Codebehind属性指示了ASP.NET页面所要继承父类的代码文件(提示:在ASPX页面中添加了WEB控件后,然后打开页面对应的代码文件,查看父类代码发生了那些变化,你将了解上述的ASP.NET页面执行模式)。 (2)、完成代码 查看SignIn.aspx的HTML代码,在
和中插入如下非常常见的HTML代码: 用户名:
密码:
然后切换到SigIn.aspx页面的设计视图,如下所示: 在登入按钮上单击鼠标右键,选择“作为服务器控件运行”,我们可以发现,登入按钮的左上角多了一个带边框的绿色小三角,如此将两个文本框也转换为服务器控件。 在ASP.NET中,服务器控件具有在服务器上可见并可编程的属性。在上述操作中,我们通过将 HTML 元素转换为 HTML 服务器控件,将其公开为可在服务器上编程的元素,这使得我们可以使用类似WinForm编程的方法来使用它们(提示:原有的HTML设计代码可以按同样的方法非常方便的重用到ASPX页面中)。 双击登入按钮,窗口切换到代码文件SignIn.aspx.cs,你可以发现,IDE已经自动添加了该按钮的事件处理函数,在该函数里填入我们的程序代码,如下: private void Submit1_ServerClick(object sender, System.EventArgs e) { if(Text1.Value=="asp"&&Password1.Value=="net") { //填入Session,用作权限控制 Session["USERNAME"]="asp"; Session["AccessCount"] = 1; //创建Cookie System.Web.HttpCookie cookie=new HttpCookie("UserInfo"); cookie["UserName"] = "asp"; cookie["AccessCount"] = "1"; cookie.Expires = DateTime.Now.AddDays(30); Response.Cookies.Add(cookie); //重定向到受保护页面 Response.Redirect("Protected.aspx?Message=Parameter In Url"); } } 上述程序代码非常简单,参看注释可以快速理解。这里值得提一下的是Session的安全性和Cookie的安全性问题。 我们知道,HTTP是无状态的,但是Web 应用必须提供对某些跨请求状态信息的维持,最常见的例子就是Web购物站点的购物车,因此所有的Web编程环境均提供了会话(Session)支持。在ASP.NET中,会话都是使用 120 位的 SessionID 字符串进行标识和跟踪的,SessionID 值是使用保证唯一性和随机性的算法(例如MD5算法)生成的,SessionID随机性使得怀有恶意的用户不能使用新的 SessionID 来计算现有会话的 SessionID。 在默认状态下,SessionID是保存在客户端的会话Cookie中的,假如客户端禁用了Cookie,通过设置Web.config文件中的 节点的属性cookieless="true",你可以使得SessionID附在URL中。此时,在你的Session有效期内,假如你将你的SessionID(从URL中获得)告诉你的朋友,他就可以使用你的SessionID从其它机器访问同一个Web应用,他将和你同用一个的Session内容。这个情况说明了实现SessionID的唯一性和随机性的原因所在。 SessionID由客户端加以维护,保存在会话Cookie中或URL中。会话状态则由服务端维护,ASP.NET 中有三种会话状态的存储模式。您可以在进程内、状态服务器(StateServer)和 SQL Server 之间选择。具体设置可以参考如下MSDN。 Session是面向用户的,它不能跨 Web 应用程序边界。所谓的在本地自建相同Session就可以访问其他Web站点的说法是无稽之谈。从应用的角度来看,Session是安全的,且无法伪造。但是这并不是说,使用Session的Web站点是绝对安全的!最后,值得指出的是,黑客攻击中的会话劫持不是劫持Web应用中的Session,而是指网络应用连接,例如HTTP会话、Telnet会话等。 Cookie是存放在本地的,而且不是加密存放的,所以,不要将重要的信息例如信用卡、密码等资料存放在Cookie中。 请切换到Protected.aspx的代码窗口查看Protected.aspx.cs文件,在Page_Load中输入访问控制代码,完成后的代码如下: private void Page_Load(object sender, System.EventArgs e) { // 在此处放置用户代码以初始化页面 /* 页面的访问控制代码 */ string username = (string)Session["UserName"]; if(username==null)//Session中为空 { System.Web.HttpCookie cookie= Request.Cookies["UserInfo"]; if(cookie!=null)//Cookie不为空 { username=cookie["UserName"]; int AccessCount=int.Parse(cookie["AccessCount"]) + 1; cookie["AccessCount"]=AccessCount.ToString(); cookie.Expires = DateTime.Now.AddDays(30); Response.Cookies.Add(cookie); //填入Session信息 Session["UserName"] = username; Session["AccessCount"] = AccessCount; } else//Cookie为空 Response.Redirect("SignIn.aspx",true); } Response.Write("Welcome " + (string)Session["UserName"] + "
"); Response.Write("You have visited for " + Session["AccessCount"].ToString() + " times" + "
"); //下面的语句使用了Request.QueryString属性取得附在URL中的参数 Response.Write("QueryString Message=" + Request.QueryString["Message"]); } 页面的Page_Load事件在每次页面Postback回服务端后均会触发,值得注意的是,其Page_Load触发时间要先于服务器控件事件(例如按钮的单击事件)。请看下面有关ASP.NET页面的生命周期的简要叙述如下,详情请参见MSDN网站: 1、Initialization-页面初始化(初始化页面及其控件); 2、Load View State-载入视图状态(载入视图状态到页面,视图状态存储了上次访问后页面的状态信息,该事件仅在页面Postback后触发); 3、Load Postback Data-载入返回数据(载入控件被修改的属性信息并予以更新,该事件也仅在页面Postback后触发); 4、Load-载入(即Page_Load事件,该事件发生表示页面已经恢复到上次访问时的状态); 5、Raise Postback Event(那些属性值发生了改变的服务器控件将触发Postback事件,注意,该阶段并未使用视图状态的信息,该事件也仅在页面Postback后触发) 6、Save View State(保存页面的视图状态信息)、 7、Render(产生最终显示给客户端的HTML代码)。 在这里,我们在Protected.aspx页面的Page_Load事件处理函数添加了页面的访问控制代码,其先检查Session,假如Session中找不到授权信息(这里是Session[“UserName”]不为空),再试图从获取客户端的Cookie信息来判断是否用户已经登入过。 最后,简单提一下删除Cookie和清除Session的代码,你可以在Protected.aspx页面上添加一个按钮,然后将它添加到这个按钮的Click事件中,就可以实现注销功能: System.Web.HttpCookie cookie= Request.Cookies["UserInfo"]; if(cookie!=null)//Cookie不为空 { cookie.Expires = DateTime.Now.AddDays(-1); Response.Cookies.Add(cookie); } //清空Session信息 Session.Clear(); Session.Abandon(); (3)测试 在VS.NET中选择生成->生成解决方案。然后在浏览器地址栏中输入: http://localhost/WebApplication1/Protected.aspx 页面自动定向到SignIn.aspx,输入asp、net后可以访问受保护的Protected.aspx页面,关闭浏览器后重新打开,然后再输入上述的地址可以访问Protected.aspx,这是读取了Cookie信息的缘故。 4、小结。 本文通过操作Request、Response、Session、Cookie这几个对象实现了简单的Web页面访问控制,目的是希望借此说明:ASP.NET的工作方式、Session安全性、ASP页面的生命周期和几个常用对象的使用,为初学者澄清一些问题,提供一个入门的参考。 最后需要强调的是,使用ASP.NET做开发要注意充分可以利用整个.Net平台的全部功能,比如ADO.NET在ASP.NET开发使用和在WinForm中并无任何差别。
密码:
然后切换到SigIn.aspx页面的设计视图,如下所示: 在登入按钮上单击鼠标右键,选择“作为服务器控件运行”,我们可以发现,登入按钮的左上角多了一个带边框的绿色小三角,如此将两个文本框也转换为服务器控件。 在ASP.NET中,服务器控件具有在服务器上可见并可编程的属性。在上述操作中,我们通过将 HTML 元素转换为 HTML 服务器控件,将其公开为可在服务器上编程的元素,这使得我们可以使用类似WinForm编程的方法来使用它们(提示:原有的HTML设计代码可以按同样的方法非常方便的重用到ASPX页面中)。 双击登入按钮,窗口切换到代码文件SignIn.aspx.cs,你可以发现,IDE已经自动添加了该按钮的事件处理函数,在该函数里填入我们的程序代码,如下: private void Submit1_ServerClick(object sender, System.EventArgs e) { if(Text1.Value=="asp"&&Password1.Value=="net") { //填入Session,用作权限控制 Session["USERNAME"]="asp"; Session["AccessCount"] = 1; //创建Cookie System.Web.HttpCookie cookie=new HttpCookie("UserInfo"); cookie["UserName"] = "asp"; cookie["AccessCount"] = "1"; cookie.Expires = DateTime.Now.AddDays(30); Response.Cookies.Add(cookie); //重定向到受保护页面 Response.Redirect("Protected.aspx?Message=Parameter In Url"); } } 上述程序代码非常简单,参看注释可以快速理解。这里值得提一下的是Session的安全性和Cookie的安全性问题。 我们知道,HTTP是无状态的,但是Web 应用必须提供对某些跨请求状态信息的维持,最常见的例子就是Web购物站点的购物车,因此所有的Web编程环境均提供了会话(Session)支持。在ASP.NET中,会话都是使用 120 位的 SessionID 字符串进行标识和跟踪的,SessionID 值是使用保证唯一性和随机性的算法(例如MD5算法)生成的,SessionID随机性使得怀有恶意的用户不能使用新的 SessionID 来计算现有会话的 SessionID。 在默认状态下,SessionID是保存在客户端的会话Cookie中的,假如客户端禁用了Cookie,通过设置Web.config文件中的 节点的属性cookieless="true",你可以使得SessionID附在URL中。此时,在你的Session有效期内,假如你将你的SessionID(从URL中获得)告诉你的朋友,他就可以使用你的SessionID从其它机器访问同一个Web应用,他将和你同用一个的Session内容。这个情况说明了实现SessionID的唯一性和随机性的原因所在。 SessionID由客户端加以维护,保存在会话Cookie中或URL中。会话状态则由服务端维护,ASP.NET 中有三种会话状态的存储模式。您可以在进程内、状态服务器(StateServer)和 SQL Server 之间选择。具体设置可以参考如下MSDN。 Session是面向用户的,它不能跨 Web 应用程序边界。所谓的在本地自建相同Session就可以访问其他Web站点的说法是无稽之谈。从应用的角度来看,Session是安全的,且无法伪造。但是这并不是说,使用Session的Web站点是绝对安全的!最后,值得指出的是,黑客攻击中的会话劫持不是劫持Web应用中的Session,而是指网络应用连接,例如HTTP会话、Telnet会话等。 Cookie是存放在本地的,而且不是加密存放的,所以,不要将重要的信息例如信用卡、密码等资料存放在Cookie中。 请切换到Protected.aspx的代码窗口查看Protected.aspx.cs文件,在Page_Load中输入访问控制代码,完成后的代码如下: private void Page_Load(object sender, System.EventArgs e) { // 在此处放置用户代码以初始化页面 /* 页面的访问控制代码 */ string username = (string)Session["UserName"]; if(username==null)//Session中为空 { System.Web.HttpCookie cookie= Request.Cookies["UserInfo"]; if(cookie!=null)//Cookie不为空 { username=cookie["UserName"]; int AccessCount=int.Parse(cookie["AccessCount"]) + 1; cookie["AccessCount"]=AccessCount.ToString(); cookie.Expires = DateTime.Now.AddDays(30); Response.Cookies.Add(cookie); //填入Session信息 Session["UserName"] = username; Session["AccessCount"] = AccessCount; } else//Cookie为空 Response.Redirect("SignIn.aspx",true); } Response.Write("Welcome " + (string)Session["UserName"] + "
"); Response.Write("You have visited for " + Session["AccessCount"].ToString() + " times" + "
"); //下面的语句使用了Request.QueryString属性取得附在URL中的参数 Response.Write("QueryString Message=" + Request.QueryString["Message"]); } 页面的Page_Load事件在每次页面Postback回服务端后均会触发,值得注意的是,其Page_Load触发时间要先于服务器控件事件(例如按钮的单击事件)。请看下面有关ASP.NET页面的生命周期的简要叙述如下,详情请参见MSDN网站: 1、Initialization-页面初始化(初始化页面及其控件); 2、Load View State-载入视图状态(载入视图状态到页面,视图状态存储了上次访问后页面的状态信息,该事件仅在页面Postback后触发); 3、Load Postback Data-载入返回数据(载入控件被修改的属性信息并予以更新,该事件也仅在页面Postback后触发); 4、Load-载入(即Page_Load事件,该事件发生表示页面已经恢复到上次访问时的状态); 5、Raise Postback Event(那些属性值发生了改变的服务器控件将触发Postback事件,注意,该阶段并未使用视图状态的信息,该事件也仅在页面Postback后触发) 6、Save View State(保存页面的视图状态信息)、 7、Render(产生最终显示给客户端的HTML代码)。 在这里,我们在Protected.aspx页面的Page_Load事件处理函数添加了页面的访问控制代码,其先检查Session,假如Session中找不到授权信息(这里是Session[“UserName”]不为空),再试图从获取客户端的Cookie信息来判断是否用户已经登入过。 最后,简单提一下删除Cookie和清除Session的代码,你可以在Protected.aspx页面上添加一个按钮,然后将它添加到这个按钮的Click事件中,就可以实现注销功能: System.Web.HttpCookie cookie= Request.Cookies["UserInfo"]; if(cookie!=null)//Cookie不为空 { cookie.Expires = DateTime.Now.AddDays(-1); Response.Cookies.Add(cookie); } //清空Session信息 Session.Clear(); Session.Abandon(); (3)测试 在VS.NET中选择生成->生成解决方案。然后在浏览器地址栏中输入: http://localhost/WebApplication1/Protected.aspx 页面自动定向到SignIn.aspx,输入asp、net后可以访问受保护的Protected.aspx页面,关闭浏览器后重新打开,然后再输入上述的地址可以访问Protected.aspx,这是读取了Cookie信息的缘故。 4、小结。 本文通过操作Request、Response、Session、Cookie这几个对象实现了简单的Web页面访问控制,目的是希望借此说明:ASP.NET的工作方式、Session安全性、ASP页面的生命周期和几个常用对象的使用,为初学者澄清一些问题,提供一个入门的参考。 最后需要强调的是,使用ASP.NET做开发要注意充分可以利用整个.Net平台的全部功能,比如ADO.NET在ASP.NET开发使用和在WinForm中并无任何差别。
3655
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
